NayaraNayara
Microsoft 365 ยท 14 menit baca

SPF, DKIM, dan DMARC di Microsoft 365: Panduan Agar Email Tidak Masuk Spam

Email domain Anda masuk folder spam atau rentan dipalsukan? Pelajari cara setup SPF, DKIM, dan DMARC yang benar di Microsoft 365, lengkap dengan contoh record DNS dan aturan terbaru Google & Yahoo untuk bulk sender.

SPF, DKIM, dan DMARC di Microsoft 365: Panduan Agar Email Tidak Masuk Spam

Email perusahaan Anda sudah pindah ke Microsoft 365, tapi tetap saja masuk folder spam di sisi penerima โ€” atau lebih buruk, ada pihak lain yang berhasil mengirim email palsu seolah-olah dari domain perusahaan Anda untuk menipu pelanggan. Hampir selalu, akar masalahnya sama: SPF, DKIM, dan DMARC belum dikonfigurasi dengan benar di DNS domain Anda.

Ketiganya adalah tiga protokol otentikasi email yang saling melengkapi, bukan tiga pilihan yang bisa dipilih salah satu. Panduan ini berlaku untuk seluruh paket Microsoft 365 maupun Office 365 versi apa pun (lihat perbedaannya di Office 365 vs Microsoft 365 bila masih bingung dengan penamaan paket Anda) โ€” konfigurasi DNS-nya sama persis karena berjalan di infrastruktur Exchange Online yang sama. Tanpa ketiganya aktif dan selaras, server email penerima (Gmail, Yahoo, Outlook, dan lainnya) tidak punya cara meyakinkan untuk membedakan email asli dari domain Anda dengan email palsu yang mengaku-ngaku sebagai Anda โ€” dan sejak 2024, sebagian besar penyedia email besar bahkan mulai menolak mentah-mentah email dari domain yang otentikasinya tidak lengkap. Panduan ini membahas tuntas apa itu SPF, DKIM, dan DMARC, cara mengaktifkannya khusus untuk Microsoft 365, contoh record DNS yang benar, aturan terbaru Google dan Yahoo, hingga kesalahan konfigurasi yang paling sering kami temukan di lapangan.

Kenapa SPF, DKIM, dan DMARC Penting untuk Bisnis Anda

Tanpa otentikasi email yang benar, siapa pun secara teknis bisa mengetik alamat "invoice@perusahaananda.com" di kolom pengirim email dan mengirimkannya ke pelanggan Anda โ€” inilah yang disebut email spoofing, teknik andalan penipuan berkedok perusahaan (business email compromise) dan phishing yang menyasar reputasi domain Anda tanpa sepengetahuan Anda sama sekali. Dampaknya nyata: pelanggan yang tertipu kehilangan uang lewat invoice palsu, reputasi domain Anda rusak di mata penyedia email besar, dan yang paling sering terjadi, email sah dari perusahaan Anda sendiri ikut masuk folder spam karena domain dianggap tidak dapat dipercaya oleh sistem anti-spam penerima.

Sejak Februari 2024, Google dan Yahoo โ€” dua penyedia email pribadi terbesar di dunia yang kemungkinan besar dipakai banyak pelanggan dan mitra bisnis Anda โ€” mewajibkan pengirim volume tinggi (lebih dari sekitar 5.000 email per hari ke alamat Gmail/Yahoo) untuk mengaktifkan SPF, DKIM, dan DMARC. Sejak akhir 2025 penegakannya semakin ketat: email yang tidak lolos otentikasi berisiko ditolak sepenuhnya, bukan lagi hanya masuk spam. Meski bisnis Anda belum mengirim dalam volume sebesar itu, praktik terbaik ini tetap sangat dianjurkan untuk semua domain karena manfaatnya langsung terasa pada tingkat keterkiriman (deliverability) email harian.

Apa Itu SPF, DKIM, dan DMARC?

SPF (Sender Policy Framework)

SPF adalah daftar server mana saja yang diizinkan mengirim email atas nama domain Anda, dituliskan sebagai satu baris TXT record di DNS. Saat email dari domain Anda tiba, server penerima memeriksa alamat IP pengirim terhadap daftar ini โ€” jika IP pengirim tidak terdaftar, email dianggap mencurigakan. Untuk Microsoft 365, SPF harus mencantumkan include:spf.protection.outlook.com agar server Exchange Online Microsoft diakui sebagai pengirim sah domain Anda.

DKIM (DomainKeys Identified Mail)

DKIM menambahkan tanda tangan digital tak terlihat pada setiap email yang dikirim, dibuat menggunakan pasangan kunci kriptografi (privat di server pengirim, publik di DNS Anda). Server penerima memverifikasi tanda tangan ini menggunakan kunci publik tersebut โ€” bila cocok, isi email dipastikan tidak diubah di tengah jalan dan benar-benar dikirim dari server yang berwenang. Berbeda dari SPF yang memeriksa alamat IP, DKIM memeriksa keaslian dan keutuhan pesan itu sendiri.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC adalah "wasit" yang menentukan apa yang terjadi bila SPF atau DKIM gagal, sekaligus meminta laporan berkala kepada Anda tentang siapa saja yang mengirim email atas nama domain Anda. DMARC juga mewajibkan alignment โ€” domain yang tercantum pada SPF/DKIM harus benar-benar sama dengan domain pada alamat "From" yang dilihat pengguna, menutup celah yang tidak bisa ditutup SPF dan DKIM sendirian.

Bagaimana Ketiganya Bekerja Bersama

Alur sederhananya: email masuk ke server penerima ? server memeriksa SPF (apakah IP pengirim terdaftar?) ? server memeriksa DKIM (apakah tanda tangan valid?) ? DMARC membaca hasil kedua pemeriksaan tersebut dan hasil alignment-nya, lalu memutuskan: terima seperti biasa, karantina ke folder spam, atau tolak sepenuhnya โ€” sesuai kebijakan yang Anda tetapkan di record DMARC. Tanpa DMARC, SPF dan DKIM boleh saja gagal tanpa konsekuensi jelas karena keputusan akhir diserahkan sepenuhnya pada kebijakan internal masing-masing penyedia email, yang tidak selalu konsisten dan tidak memberi Anda laporan apa pun.

Efek Bila Tidak Dikonfigurasi dengan Benar

  • Email masuk folder spam/promosi meski dikirim dari akun resmi perusahaan, karena domain dianggap tidak cukup terpercaya.
  • Domain dipalsukan (spoofing) untuk phishing โ€” pelanggan menerima "invoice" atau "permintaan transfer" palsu yang tampak berasal dari email perusahaan Anda.
  • Newsletter dan email marketing gagal terkirim ke sebagian besar penerima Gmail/Yahoo, terutama sejak aturan bulk sender 2024 diberlakukan.
  • Reputasi domain menurun secara bertahap โ€” sekali dianggap sumber spam, butuh waktu berminggu-minggu untuk memulihkan reputasi domain di mata penyedia email besar.
  • Kehilangan kepercayaan pelanggan setelah insiden email palsu, bahkan bila perusahaan Anda sendiri tidak melakukan kesalahan apa pun.

Cara Setup SPF di Microsoft 365

Jika domain Anda sepenuhnya menggunakan Microsoft 365 untuk mengirim email (tanpa layanan pengirim lain seperti sistem invoice pihak ketiga), tambahkan satu TXT record ini di pengelola DNS domain Anda (Niagahoster, Cloudflare, Domainesia, atau lainnya):

Tipe Host/Nama Nilai
TXT @ (root domain) v=spf1 include:spf.protection.outlook.com -all

Jika Anda juga mengirim email lewat layanan lain (misalnya platform invoice, CRM, atau alat pemasaran email), tambahkan include layanan tersebut pada baris yang sama โ€” jangan pernah membuat dua TXT record SPF terpisah, karena hanya satu yang akan dibaca dan menyebabkan kegagalan otentikasi untuk semua pengirim. Contoh bila memakai Mailchimp sekaligus: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all. Akhiri selalu dengan -all (menolak tegas pengirim tak terdaftar) setelah Anda yakin semua sumber pengirim sah sudah tercantum; gunakan ~all (soft fail) sementara saat masih tahap pengujian.

Cara Setup DKIM di Microsoft 365

Berbeda dari SPF, DKIM Microsoft 365 memakai dua CNAME record dan harus diaktifkan manual melalui portal admin:

  1. Masuk ke Microsoft Defender Portal (security.microsoft.com) ? Email & collaboration ? Policies & rules ? Threat policies ? Email authentication settings ? tab DKIM.
  2. Pilih domain custom Anda (bukan yang berakhiran onmicrosoft.com), Microsoft akan menampilkan dua nilai CNAME yang harus ditambahkan di DNS, biasanya berformat:
    selector1._domainkey.namadomain.com ? selector1-namadomain-com._domainkey.namadomaintenant.onmicrosoft.com
    selector2._domainkey.namadomain.com ? selector2-namadomain-com._domainkey.namadomaintenant.onmicrosoft.com
  3. Tambahkan kedua CNAME tersebut persis seperti ditampilkan di pengelola DNS domain Anda, tunggu propagasi (biasanya 15 menit hingga beberapa jam).
  4. Kembali ke portal admin dan klik Enable pada domain tersebut. Status akan berubah menjadi "Enabled" bila CNAME terverifikasi.

Tanpa DKIM diaktifkan secara manual seperti di atas, Microsoft 365 sebenarnya tetap menandatangani email Anda menggunakan domain onmicrosoft.com bawaan (bukan domain kustom Anda) โ€” cukup untuk lolos pengecekan dasar, tetapi tidak ideal untuk alignment DMARC yang ketat dan tidak menampilkan identitas domain Anda sendiri sebagai penanda tangan.

Cara Setup DMARC di Microsoft 365

DMARC selalu berupa satu TXT record di subdomain _dmarc, dan sebaiknya diterapkan bertahap agar tidak memblokir email sah yang belum sempat terdaftar di SPF/DKIM:

Tahap Contoh Record DNS Tujuan
1. Pemantauan v=DMARC1; p=none; rua=mailto:dmarc-report@namadomain.com Hanya mengumpulkan laporan, tidak memengaruhi pengiriman email sama sekali.
2. Karantina v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-report@namadomain.com Email yang gagal otentikasi diarahkan ke spam pada sebagian (pct) penerima, sebagai uji coba bertahap.
3. Penegakan penuh v=DMARC1; p=reject; rua=mailto:dmarc-report@namadomain.com Email yang gagal otentikasi ditolak sepenuhnya oleh server penerima โ€” target akhir yang disarankan.

Host/nama record selalu _dmarc (bukan @ seperti SPF). Disarankan menetap di tahap p=none selama 1โ€“2 minggu untuk meninjau laporan agregat (rua) yang dikirim ke alamat email pemantauan Anda, memastikan seluruh pengirim sah (Microsoft 365, layanan invoice, alat pemasaran) sudah lolos SPF atau DKIM, sebelum naik ke p=quarantine lalu akhirnya p=reject. Melompat langsung ke p=reject tanpa tahap pemantauan berisiko memblokir email sah Anda sendiri yang belum terdaftar di SPF.

Contoh Konfigurasi DNS Lengkap untuk Domain Full Microsoft 365

Tipe Host Nilai
TXT @ v=spf1 include:spf.protection.outlook.com -all
CNAME selector1._domainkey selector1-namadomain-com._domainkey.tenant.onmicrosoft.com
CNAME selector2._domainkey selector2-namadomain-com._domainkey.tenant.onmicrosoft.com
TXT _dmarc v=DMARC1; p=reject; rua=mailto:dmarc-report@namadomain.com

Nilai persis untuk MX, autodiscover, dan record lain saat pemasangan awal domain sudah kami bahas di panduan migrasi email ke Microsoft 365; SPF/DKIM/DMARC di atas melengkapi konfigurasi DNS tersebut khusus dari sisi keamanan dan keterkiriman.

Aturan Baru Google dan Yahoo untuk Bulk Sender

Sejak Februari 2024, Google mengategorikan pengirim sebagai "bulk sender" bila mengirim mendekati atau lebih dari 5.000 email per hari ke alamat Gmail pribadi โ€” ambang yang bisa tercapai lebih cepat dari perkiraan bila perusahaan Anda mengirim newsletter, notifikasi invoice, atau email transaksional dalam jumlah besar. Persyaratan minimalnya: SPF dan DKIM aktif, DMARC minimal pada kebijakan p=none, alignment SPF atau DKIM yang benar, serta tautan berhenti berlangganan satu klik untuk email marketing yang harus diproses dalam waktu dua hari. Sejak November 2025, penegakan Gmail semakin tegas โ€” email yang tidak memenuhi syarat berisiko ditolak langsung, bukan lagi sekadar masuk spam. Meski volume email perusahaan Anda belum mendekati ambang tersebut, menyiapkan ketiga protokol ini lebih awal berarti bisnis Anda sudah siap begitu volume pengiriman bertambah di masa depan.

Kesalahan Umum Konfigurasi SPF, DKIM, DMARC

  • Membuat dua TXT record SPF terpisah alih-alih menggabungkan seluruh include dalam satu baris โ€” menyebabkan kegagalan SPF total.
  • Melompat langsung ke p=reject tanpa masa pemantauan p=none, sehingga email sah dari layanan yang belum terdaftar SPF ikut ditolak.
  • Lupa mengaktifkan DKIM secara manual di Defender Portal, sehingga tetap bergantung pada domain onmicrosoft.com bawaan alih-alih domain sendiri.
  • Salah menempatkan host record DMARC โ€” sering ditulis di @ padahal wajib di _dmarc, membuat record tidak pernah terbaca oleh server penerima mana pun.
  • Tidak memantau laporan agregat (rua) DMARC sama sekali, sehingga tidak menyadari ada pengirim sah yang gagal otentikasi hingga pelanggan komplain email tidak masuk.
  • Menghapus SPF/DKIM lama saat pindah layanan email marketing tetapi lupa memperbarui include di record SPF, membuat email dari layanan baru gagal otentikasi.

Cara Memverifikasi Setup Anda Sudah Benar

Setelah seluruh record ditambahkan dan propagasi DNS selesai (gunakan MXToolbox untuk memeriksa propagasi), kirim email uji ke alamat Gmail atau Outlook pribadi Anda, lalu periksa header pesan lengkap ("Show original" di Gmail, atau "View message source" di Outlook) dan cari tiga baris: spf=pass, dkim=pass, dan dmarc=pass. Ketiganya harus berstatus "pass" secara bersamaan. Bila salah satu gagal, periksa kembali nilai record DNS Anda persis sesuai yang ditampilkan portal admin Microsoft 365 โ€” kesalahan satu karakter pun (spasi, tanda hubung, huruf besar/kecil pada beberapa penyedia DNS) dapat menyebabkan kegagalan verifikasi.

Bagaimana Bila Domain Anda Punya Beberapa Subdomain atau Layanan Campuran?

Banyak perusahaan tidak hanya mengirim email lewat Microsoft 365 di domain utama, tetapi juga memakai subdomain terpisah untuk kebutuhan lain โ€” misalnya mail.namadomain.com untuk sistem invoice otomatis, atau promo.namadomain.com untuk platform email marketing pihak ketiga. Setiap subdomain yang mengirim email membutuhkan record SPF-nya sendiri, terpisah dari SPF domain utama, karena SPF tidak otomatis diwariskan ke subdomain. DMARC berperilaku sebaliknya: bila subdomain tidak memiliki record DMARC sendiri, kebijakan (p=) dari domain utama akan berlaku secara otomatis kecuali Anda menambahkan tag sp= (subdomain policy) yang berbeda pada record DMARC domain utama untuk mengatur kebijakan subdomain secara terpisah, misalnya v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc-report@namadomain.com.

Situasi ini juga umum terjadi saat migrasi bertahap dari hosting email lama ke Microsoft 365 โ€” sebagian departemen atau sistem otomatis mungkin masih mengirim dari server lama selama masa transisi. Pastikan seluruh sumber pengirim ini terdaftar di SPF domain utama sebelum menaikkan kebijakan DMARC ke p=reject, agar tidak ada email sah dari sistem lama yang ikut tertolak selama proses migrasi berjalan. Detail perencanaan migrasi bertahap ini sejalan dengan langkah-langkah yang kami uraikan di panduan migrasi email ke Microsoft 365.

BIMI: Lapisan Tambahan Setelah DMARC Aktif Penuh

Setelah DMARC berjalan stabil pada kebijakan p=reject, Anda dapat mempertimbangkan BIMI (Brand Indicators for Message Identification) โ€” standar yang memungkinkan logo resmi perusahaan Anda tampil di sebelah nama pengirim pada kotak masuk Gmail dan sejumlah klien email lain yang mendukungnya. BIMI mensyaratkan DMARC dengan kebijakan penegakan penuh (p=reject atau p=quarantine dengan pct=100), logo dalam format SVG khusus, dan pada sebagian besar penyedia, sertifikat verifikasi merek (VMC) yang diterbitkan otoritas resmi. BIMI bukan syarat wajib, tetapi menjadi nilai tambah kepercayaan visual bagi penerima email โ€” logo perusahaan yang tampil resmi di inbox membuat pelanggan lebih yakin email tersebut asli, sekaligus bukti tambahan bahwa domain Anda mengelola keamanan email dengan serius.

Mengukur Dampak Setelah Konfigurasi Selesai

Keberhasilan konfigurasi SPF, DKIM, dan DMARC paling jujur terlihat dari tiga indikator: menurunnya keluhan "email saya tidak sampai" dari rekan kerja atau pelanggan, laporan agregat DMARC yang secara konsisten menunjukkan tingkat pass mendekati 100% dari seluruh sumber pengirim sah, dan tidak adanya lagi email domain Anda yang dilaporkan sebagai spam oleh penerima eksternal. Tinjau laporan agregat DMARC setidaknya sebulan sekali meski konfigurasi sudah stabil, karena penambahan layanan pengirim baru (alat CRM baru, sistem invoice baru) sering kali lupa didaftarkan ke SPF dan baru terlihat sebagai kegagalan otentikasi pada laporan berikutnya.

Istilah Penting yang Perlu Anda Kenali

Alignment adalah kesesuaian domain pada SPF/DKIM dengan domain pada alamat "From" yang dilihat pengguna. Selector adalah pengenal pasangan kunci DKIM (misalnya selector1, selector2) yang memungkinkan rotasi kunci tanpa mengganggu layanan. Aggregate report (rua) adalah laporan ringkas harian/mingguan berisi siapa saja yang mengirim email atas nama domain Anda dan hasil otentikasinya. Soft fail (~all) vs hard fail (-all) menentukan seberapa tegas SPF menolak pengirim yang tidak terdaftar. Spoofing adalah pemalsuan identitas pengirim email. Memahami istilah ini membuat komunikasi dengan tim IT atau mitra hosting domain Anda jauh lebih efisien.

Pastikan Email Domain Anda Terlindungi dan Selalu Masuk Inbox

Nayara Cloud membantu konfigurasi SPF, DKIM, dan DMARC yang benar untuk domain Microsoft 365 Anda, memastikan email bisnis terkirim aman dan tidak dipalsukan pihak lain. Konsultasi gratis sebelum membeli lisensi maupun untuk perbaikan konfigurasi domain yang sudah berjalan.

Konsultasi & Pesan Sekarang

FAQ SPF, DKIM, dan DMARC di Microsoft 365

Apakah SPF, DKIM, dan DMARC wajib diaktifkan ketiganya?

Sangat disarankan mengaktifkan ketiganya bersamaan. SPF dan DKIM saja tanpa DMARC tidak memberi instruksi jelas kepada server penerima soal apa yang harus dilakukan bila keduanya gagal, sehingga domain Anda tetap rentan dipalsukan.

Apakah mengaktifkan DMARC bisa membuat email sah saya tertolak?

Bisa, bila Anda melompat langsung ke p=reject tanpa masa pemantauan. Selalu mulai dari p=none, tinjau laporan selama 1โ€“2 minggu, lalu naikkan bertahap ke p=quarantine dan akhirnya p=reject.

Berapa lama propagasi DNS untuk record ini?

Umumnya 15 menit hingga beberapa jam, meski secara teknis dapat memakan waktu hingga 48 jam tergantung nilai TTL dan penyedia DNS Anda. Gunakan alat seperti MXToolbox untuk memeriksa status propagasi secara real time.

Saya sudah pakai Microsoft 365, apakah SPF/DKIM/DMARC otomatis aktif?

Tidak otomatis untuk domain kustom Anda. Microsoft 365 menyediakan proteksi dasar untuk domain onmicrosoft.com bawaan, tetapi SPF, DKIM, dan DMARC untuk domain perusahaan Anda sendiri harus dikonfigurasi manual di DNS seperti dijelaskan di artikel ini.

Apa yang terjadi bila saya memakai layanan email marketing selain Microsoft 365?

Tambahkan include layanan tersebut pada baris SPF yang sama dengan Microsoft 365, dan aktifkan DKIM khusus dari layanan tersebut sesuai instruksi masing-masing penyedia. Jangan membuat record SPF kedua yang terpisah.

Bagaimana cara membaca laporan agregat DMARC yang saya terima?

Laporan dikirim dalam format XML yang cukup teknis untuk dibaca manual; gunakan layanan pembaca DMARC gratis maupun berbayar (banyak tersedia daring) yang menyajikannya sebagai dasbor mudah dibaca, menampilkan sumber pengirim dan status pass/fail per pengirim.

Apakah aturan Google dan Yahoo 2024 berlaku juga untuk bisnis kecil?

Aturan wajibnya berlaku bila volume pengiriman Anda mendekati atau melebihi 5.000 email per hari ke Gmail/Yahoo. Namun praktik terbaik SPF, DKIM, dan DMARC tetap sangat dianjurkan untuk semua ukuran bisnis karena langsung meningkatkan keterkiriman email harian, terlepas dari volume pengiriman.

Apakah saya perlu bantuan teknis untuk konfigurasi ini?

Konfigurasinya membutuhkan akses ke pengelola DNS domain dan portal admin Microsoft 365, serta pemahaman dasar format record TXT/CNAME. Bila tim internal Anda tidak familier dengan DNS, mitra resmi Microsoft 365 seperti Nayara Cloud dapat membantu konfigurasi sekaligus verifikasi agar bebas kesalahan.

Pelajari Selengkapnya

Artikel ini akan lebih kuat jika dibaca bersama topik berikut:

Butuh Microsoft 365 Resmi untuk Bisnis Anda?

Nayara Cloud membantu aktivasi lisensi resmi, pembayaran Rupiah, dan dukungan teknis lokal yang responsif.

Lihat Paket Nayara Cloud

Komentar

Belum ada komentar yang disetujui.

Tinggalkan Komentar